Le processus d’évaluation génère deux rapports : un rapport d’évaluation du niveau de risque et un rapport d’information sur ces risques. Le rapport d’évaluation donne le niveau de risque des évènements redoutés résultant de la description du parcours. Tandis que le rap- port d’information sensibilise le concepteur sur les risques avérés, mais aussi sur les risques éventuels auxquels celui-ci pourrait ignorer.
Rappelons que les évènements redoutés sont : la souscription frauduleuse et l’accès non autorisé qui se décline en imitation ou en substitution de l’entité légitime. Trois niveaux sont à considérer : ÉLEVÉ si la probabilité d’occurrence du risque est très élevée ; MODÉRÉ, si l’attaque nécessite plus d’efforts à l’attaquant pour parvenir à ses fins ; FAIBLE si le risque est très minime voire inexistant en fonction des éléments connus.
L’évaluation du parcours commence par l’évaluation des facteurs d’authentification défi- nis dans les Section 4.3.1 et 4.3.2. Pour rappel, les facteurs de possession sont évalués à un niveau de risque MODÉRÉ du fait qu’ils sont susceptibles d’être perdus ou volés. Les fac- teurs de connaissance et biométrique dépendent respectivement du secret et de la modalité biométrique et du dispositif d’acquisition. De plus, l’évaluation des facteurs de connaissance est influencée par le nombre d’essai autorisé pour trouver le secret et l’auto-remplissage des champs d’acquisition.
La seconde étape du processus consiste à évaluer les phases du parcours d’authentification en commençant par la phase d’enregistrement en vu d’une souscription frauduleuse.
5.4.1
Risque de souscription frauduleuse via la phase d’enregis-
trement
Rapport d’évaluation du niveau de risque
Le rapport d’évaluation du niveau de risques est obtenu via un programme dont le le pseudo-code est donné ci-après (Listing 5.5).
1 for attribute in profile :
2 if(!attribute.validity AND !attribute.unicity AND !attribute.bindings) :
3 attribute.LEVEL = HIGH
4 else if (!attribute.validity OR !attribute.unicity OR !attribute.bindings) :
5 attribute.LEVEL = MEDIUM
6 else
7 attribute.LEVEL = LOW
Listing 5.5 – Pseudo-code de l’évaluation du niveau de risques de souscription d’une entité frauduleuse.
Ce pseudo-code se fonde sur le processus d’évaluation décrit en Section 4.2.3. De plus, chaque attribut est évalué de façon unitaire en fonction du respect ou non des exigences de sécurité par la fonction de vérification.
Nous considérons la spécification de l’exemple illustratif (listing 5.1) pour illustrer le ré- sultat du rapport d’évaluation relatif à une souscription frauduleuse. Le résultat est présenté dans la Table 5.1.
Attribut Niveau de risque Détails
e-mail FAIBLE
Le niveau de risque global est évalué à FAIBLE car les trois attributs ont respecté les exigences recommandées.
phoneNumber FAIBLE
driverLicense FAIBLE
Table 5.1 – Rapport d’évaluation du niveau de risque d’une souscription frauduleuse de l’application de partage voiture
La fonction de vérification étant déclarative et peu explicite (i.e., usage de booléen), nous générons un deuxième rapport de sensibilisation afin de renforcer la spécification du concep- teur via des alertes et des recommandations.
Rapport d’information
En phase d’enregistrement, le rapport d’information permet de guider le concepteur sur les méthodes de vérification à mettre en place afin de satisfaire les exigences de sécurité. Ce rapport, qui se fonde sur les conditions de satisfiablité des exigences décrites en Section 4.2.1 et 4.2.2, est purement informationnel. Par conséquent, le concepteur est libre d’appliquer les méthodes de vérification qui lui semblent appropriées pour atteindre le niveau de sécurité escompté ou inversement, le niveau de risque à éviter.
La table 5.2 est un exemple de rapport d’information pour l’exemple illustratif. Un en- semble d’hypothèses sont émises sur chaque attribut en fonction de sa nature (i.e.,provider: SELF si c’est l’utilisateur qui le fourni, IdP si c’est un IdP et INSTITUTIONAL s’il s’agit d’un document d’identité physique) afin de guider le concepteur vers les méthodes de vérification pertinentes pour satisfaire les exigences.
Attributs Fournisseur Recommandations et Alertes
e-mail Fournisseur de Service
— validité : vérification du format, envoi de mail de test.
— unicité : vérification des doublons en base de données.
— appartenance : protocole de challenge- response (e.g., envoi d’un mail de confirma- tion).
phoneNumber Fournisseur de service
— validité : vérification de format, envoi d’un SMS avec accusé de réception
— unicité : vérification des doublons
— appartenance : challenge-response ou appel direct.
driverLicense INSTITUTIONNEL
— validité : validé par l’institution via une API ou une équivalence.
— unicité : vérification des doublons, croisement des informations
— appartenance : Si photo, alors vérification physique ou équivalence (via un canal we- bRTC par exemple). Sinon, demande d’un autre document institutionnel équivalent.
Table 5.2 – Rapport de sensibilisation du niveau de risque d’une souscription frauduleuse de l’application de partage voiture
5.4.2
Risque d’accès non autorisé via la phase de login et la
phase de mise à jour de preuves de sécurité
Rapport d’évaluation
Le rapport d’évaluation d’un risque d’accès non autorisé via la phase de login se fonde, premièrement, sur l’évaluation des facteurs d’authentification, deuxièmement, sur la spéci- fication de la phase de login selon la procédure décrite en Section 4.3.4. Pour rappel, si la session est persistante alors le risque est évalué tel une authentification fondée sur un facteur de possession. En l’absence de session persistante, l’évaluation est directement obtenue via l’évaluation du moyen d’authentification.
Le risque est évalué selon le parcours de récupération de preuves de sécurité en se basant sur la procédure décrite en Section 4.3.5. En principe, l’évaluation prend en compte le proto- cole utilisé en plus du moyen d’authentification quand ce dernier existe. Dans le cas contraire, seul le protocole utilisé est pris en compte. Notons que des annotations (i.e., les alertes) sont ajoutées afin d’orienter le rapport d’information. Listing 5.6 présente l’algorithme d’évalua- tion du niveau de risque d’un accès non autorisé via le parcours de login et de récupération de preuves de sécurité.
1 ’’’fonction d’initialisation des facteurs d’authentification’’’
2 def initAuthenticator(auth) : 3 switch(auth.type) : 4 case POSSESSION : 5 auth.LEVEL = MEDIUM 6 case BIOMETRICS : 7 auth.LEVEL = LOW 8 case KNOWLEDGE : 9 if(auth.autifilled OR !auth.limitedAttempts) : 10 auth.LEVEL = MEDIUM 11 else : 12 auth.LEVEL = auth.value.LEVEL
13 ’’’fonction d’evaluation de la phase de login.’’’
14 def evaluateLogin (login) :
15 if (login.persistedSesson)
16 login.LEVEL = MEDIUM
17 else :
18 if(auth instanceof 2FA) :
19 login.LEVEL = max (login.authentication[0].LEVEL,login.authentication[1].
LEVEL )
20 else
21 login.LEVEL = login.authentication.auth.LEVEL
22
23 ’’’fonction d’evaluation de la phase de recuperation de preuves de securite.’’’
24 def evaluateRecovery (recovery) :
25 if (recovory.auth != null) :
26 if(recovery.protocol == local) :
28 else :
29 recovery.LEVEL = min (recovery.auth.LEVEL, MEDIUM)
30 else
31 if(recovery.protocol == local) :
32 recovery.LEVEL = LOW
33 else
34 recovery.LEVEL = MEDIUM
Listing 5.6 – Pseudo-code de l’évaluation du niveau des risques d’un accès non autorisé via la phase de login et de récupération de preuves de sécurité.
Nous reprenons l’exemple illustratif spécifié dans le Listing 5.4 pour illustrer le rapport d’éva- luation. Pour rappel, la plateforme de partage de véhicules propose deux moyens d’authentifi- cation pour ouvrir une session utilisateur : une authentification fondée sur la reconnaissance de l’empreinte digitale et une autre fondée sur la connaissance d’un mot de passe contrai- gnant. Les deux ont un niveau de risque FAIBLE. Cependant, l’application autorise, en plus de la session persistante, le remplissage automatique du formulaire de mot de passe. Par conséquent, le niveau de risque est évalué à MODÉRÉ car considéré comme un facteur de possession.
Pour ce qui est de la phase de récupération, l’authentification est fondée sur la réponse à une question secrète qui est évalué à niveau de risque ÉLEVÉ car la question sécrète est considérée comme faible en terme de niveau de sécurité [22]. Cependant, le protocole utilisé est fondé sur l’adresse mail ou le SMS, de ce fait, le niveau de risque est évalué à MODÉRÉ car l’attaquant doit accéder au compte mail ou au SMS de la victime pour réussir l’exploitation.
La Table 5.3 présente le rapport d’évaluation du niveau de risque d’un accès non autorisé. Le niveau de risque global est MODÉRÉ, ce qui délègue la protection de l’application à la protection du dispositif (e.g., téléphone portable, ordinateur) sur lequel celui-ci s’exécute.
Phase Niveau de
risque
Description
Phase de login MODÉRÉ
Du fait de la session persistante ou des formu- laires pré-remplis, la phase de login est évaluée comme une authentification fondée sur la pos- session.
Récupération de preuves de sécurité
MODÉRÉ
La question secrète est évaluée à FAIBLE en terme de niveau de sécurité. Par contre, le ni- veau de risque est réduit par le protocole qui nécessite d’accéder au compte mail ou au SMS de la victime.
Table 5.3 – Rapport d’évaluation du niveau de risque d’un accès non autorisé via la phase de login et de récupération de preuve d’identité.
Rapport d’information
Le rapport d’information permet d’alerter le concepteur sur les éventuels risques rési- duels. Ce rapport est aidé par les annotations de l’évaluation du niveau de risque. Chaque annotation correspond à un message d’alerte qui permet d’orienter le rapport d’information vers les recommandations adéquates.
À titre d’exemple, La table 5.4 correspond au rapport de sensibilisation généré pour l’exemple illustratif.